За по-лесно управление на достъпа до root има програма „sudo“ (superuser do). Това всъщност не е самият корен. Вместо това издига свързаната команда до основното ниво. Като се има предвид това, управлението на „root“ достъпа всъщност означава управление на потребителите, които имат достъп до „sudo“. Самото судо може да се използва по много начини.
Нека научим повече за root и sudo на Arch Linux.
Внимание: Тъй като коренът е всесилен, играта с него може да доведе до неочаквани щети. По дизайн Unix-подобни системи приемат, че системният администратор знае точно какво прави. Така че, системата ще позволи дори и най-опасните операции, без допълнителни въпроси.
Ето защо системните администратори трябва да бъдат най-предпазливи от всички, когато работят с "корен" достъп. Докато използвате "root" достъпа за изпълнение на определена задача, бъдете внимателни и отговорни за резултата.
Судо на Arch Linux
Судото не е просто програма. По-скоро това е рамката, която управлява „root“ достъпа. Когато sudo присъства в системата, има и определени потребителски групи, които имат достъп до “root”. Групирането позволява по-лесен контрол върху разрешенията на потребителите.
Нека да започнем със sudo!
Инсталиране на sudo
Когато инсталирате Arch Linux, той трябва да има инсталиран по подразбиране sudo. Изпълнете обаче следната команда, за да се уверите, че sudo действително присъства в системата.
pacman -S sudo
Изпълнение на команда с root права
Sudo следва следната командна структура.
Судо
Например използвайте sudo, за да кажете на pacman да надгради цялата система.
sudo pacman -Syyu
Текущи настройки на sudo
Sudo може да бъде конфигуриран по поръчка, за да задоволи нуждите на ситуацията. За да проверите текущите настройки, използвайте следните команди.
sudo -ll
Ако се интересувате от проверка на конфигурацията за определен потребител, използвайте следната команда.
sudo -lU
Управление на sudoers
Когато инсталирате sudo, той също създава конфигурационен файл с име „sudoers“. Той съдържа конфигурацията за различни потребителски групи като колело, судо и други настройки. Судорите винаги трябва да бъдат достъпни чрез командата “visudo”. Това е по-сигурен начин от директното редактиране на файла. Той заключва файла sudoers, записва редактирания във временен файл и проверява граматиката, преди да бъде записан за постоянно в „/ etc / sudoers“.
Нека проверим sudoers.
sudo visudo
Тази команда ще стартира режима за редактиране на файла sudoers. По подразбиране редакторът ще бъде vim. Ако се интересувате да използвате нещо друго като редактор, използвайте следната командна структура.
sudo EDITOR =
Можете да промените за постоянно редактора на visudo, като добавите следния ред в края на файла.
Редактор по подразбиране = / usr / bin / nano, !env_editor
Не забравяйте да проверите резултата.
sudo visudo
Групи
„Sudoers“ диктува разрешението „sudo“ едновременно на потребители и групи. Например групата колела по подразбиране има способността да изпълнява команди с права на root. Има и друго групово судо за същата цел.
Проверете кои потребителски групи в момента присъстват в системата.
групи
Проверете sudoer кои групи имат достъп до root права.
sudo visudo
Както можете да видите, “root” акаунтът има достъп до пълната права на root.
- Първо “ALL” показва, че правилото е за всички хостове
- Второто „ALL“ казва, че потребителят в първата колона може да изпълнява всяка команда с привилегията на всеки потребител
- Третото „ALL“ означава, че всяка команда е достъпна
Същото важи и за групата колела.
Ако се интересувате от добавяне на друга потребителска група, трябва да използвате следната структура
%За нормален потребител структурата би била
Разрешаване на потребител със sudo достъп
Това може да се извърши по 2 начина - добавяне на потребителя към колело група или, споменавайки потребителя в sudoers.
Добавяне към група колела
Използвайте usermod за да добавите съществуващ потребител към колело група.
sudo usermod -aG колело
Добавяне на sudoers
Стартиране sudoers.
sudo visudoСега добавете потребителя със свързано коренно разрешение.
Ако искате да премахнете потребителя от sudo достъп, премахнете потребителския запис от sudoers или използвайте следната команда.
sudo gpasswd -d
Разрешения за файлове
Собственикът и групата за „sudoers“ ТРЯБВА да са 0 с разрешението на файла 0440. Това са стойностите по подразбиране. Ако обаче сте се опитали да промените, нулирайте ги до стойностите по подразбиране.
chown -c корен: root / etc / sudoerschmod -c 0440 / etc / sudoers
Предаване на променливи на средата
Винаги, когато изпълнявате команда като root, текущите променливи на средата не се предават на root потребителя. Доста болезнено е, ако вашият работен поток е силно зависим от променливите на средата или, ако предавате настройките на проксито чрез “export http_proxy =” ... ””, трябва да добавите флага “-E” със sudo.
sudo -E
Редактиране на файл
Когато инсталирате sudo, има и допълнителен инструмент, наречен „sudoedit“. Това ще позволи редактиране на определен файл като root потребител.
Това е по-добър и по-сигурен начин да позволите на определен потребител или група да редактира определен файл, който изисква root права. С sudoedit потребителят не трябва да има достъп до sudoed.
Може да се извърши и чрез добавяне на нов запис на група във файла sudoers.
% newsudo ALL =В горния сценарий обаче потребителят е фиксиран само с конкретния редактор. Sudoedit позволява гъвкавостта при използване на всеки редактор по избор на потребителя, за да свърши работата.
% newsudo ALL = sudoedit / път / към / файлИзпробвайте редактирането на файл, който изисква достъп до sudo.
sudoedit / etc / sudoers
Забележка: Sudoedit е еквивалентно на командата “sudo -e”. Това обаче е по-добър път, тъй като не изисква достъп до sudo.
Финални мисли
краткото му ръководство просто показва малка част от това, което можете да правите със sudo. Силно препоръчвам да разгледате ръководството на sudo.
човек судо
Наздраве!